服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 安全地设置新的域服务器有哪些最佳实践?
Intereting Posts
AMD Athlon上的时钟漂移过多会阻止ntpd同步时钟 PKI – 证书模板无法加载。 该系统不支持此function Windows Server客户端计算机备份服务将无法启动 如何从命令行安装Windows更新 数字子域 在shell中输出奇怪的字符 重新启动后IIS 7.5 – SSL失败 – 重新绑定证书修复直到重新启动 TIME_WAIT端口是否可以用于不同的远程服务器? PHP不加载Windows Server 2008上的MySQL DLL 服务器上/ tmp中条目的寿命 ZFS(NexentaStor)和4k高级格式分区alignment httpd,vsftpd和烦人的selinux postgresql 8.4原始configuration文件(ubuntu) 尝试启动RHEL7.1的“ntpdate.service”时出现错误 网站有时候会很痛苦

安全地设置新的域服务器有哪些最佳实践?

我刚接任一个本地小型企业的新系统pipe理员。 他们有一个非常古老的DNS服务器(8岁),运行Windows Server 2000.该服务器提供大约20到30个客户端的访问。 我们想要升级到一个新的服务器,但在此之前,我一直在寻找replace旧的DNS服务器的总体概述,因为这将是我第一次这样做。 显然安全是必须的,我熟悉使用Active Directory,但从来没有从一开始就设置。

具体而言,我正在寻找的是:

  • 什么是一些常见的安全漏洞
  • 做什么的基本概述(或在哪里查找概述)
  • 最初设置的最佳做法

自2000年以来,AD树本身的正向查找域可能是一个集成区域。 把它添加到一个新的服务器上就像DC一样简单。build立一个新的域控制器,添加DNS服务,并把它传递给它。 然后来更新每个人的DNS设置(DHCP!)的乐趣。

安全方面,有几个方面:

  • 限制区域传输 。 您只想将区域传送限制为需要的机器。 如果您只使用AD集成服务器来提供DNS服务,则根本不需要这样做。 我们使用BIND服务器作为我们的AD域DNS的辅助服务器,因此它们位于我们的“区域传输”列表中。 你可能没有。
  • 限制dynamicDNS 。 开箱即用,AD允许(或者在2000年)进行未经authentication的Dymanic DNS更新。 这是最兼容的select,但它确实代表了一个重大的安全漏洞。 强烈build议将其转换为“仅安全更新”。
  • validationDNS更新权限 。 检查您的区域的“安全”选项卡,并确保权限设置正确。 谁知道八年前是否设定的依然有效。